Yara Rule - 예를 들어 이름이라는 파일을 감지명확한 텍스트 비밀번호를 포함 할 수 있지만 MS Office에서 비밀번호를 보호하는 Password.xlsx (매우 강력하지만 여전히 약한 암호화 비밀번호를 사용할 수 있음)

allmnet · 10월 7, 2023, 2:08오후

Yara Rule - 예를 들어 이름이라는 파일을 감지명확한 텍스트 비밀번호를 포함 할 수 있지만 MS Office에서 비밀번호를 보호하는 Password.xlsx (매우 강력하지만 여전히 약한 암호화 비밀번호를 사용할 수 있음).

Yara 정의.

Yara Rule - Detects files named e.g. password.xlsx, which might contain clear text passwords, but are password protected from MS Office (which is quite strong but still might use a weak encryption password)

Yara definition.

Author: Arnim Rupp (https://github.com/ruppde)

Internal Research

//and math.entropy(0, filesize) >= 7.0
and math.entropy(0, 1024) >= 7.0
date = "2023-10-03"
score = 60
uint32be(0) == 0xd0cf11e0 // xls
uint32be(0) == 0x504b0304 // unencrypted xlsx = pkzip
date = "2023-10-03"
score = 50
uint32be(0) == 0xd0cf11e0 // encrypted xlsx = CDFV2```


[https://github.com/Neo23x0/signature-base/commit/47648c148859d7a78caed461dea0dab51d237884](https://github.com/Neo23x0/signature-base/commit/47648c148859d7a78caed461dea0dab51d237884)